各县(市)国土资源局、分局,机关各科室、各直属单位:
《达州市国土资源系统内网安全管理制度》已经局办公会审定通过,现印发给你们,请结合实际,认真抓好贯彻执行。
达州市国土资源局
2018年4月4日
达州市国土资源系统内网安全管理制度
第一章 总 则
第一条 为加强内部计算机网络(即达州市国土资源系统主干网,以下简称为“内网”,网内的计算机以下统称为“内网计算机”,内网的使用人员以下统称为“内网用户”)的使用和管理,保障内网的安全稳定运行,根据国家法律、法规和网络信息化安全相关规定,结合本系统实际,制定本制度。
第二条 本制度规范的内容包括:网络管理、终端管理、用户管理、介质管理、安全事件报告和追责。
第三条 各单位网络安全和信息化领导小组办公室(以下简称为“网信办”)是内网管理工作的责任部门,负责本单位内网的网络管理、安全和维护保障工作。
第二章 网络管理
第四条 内网进行分级、分层、分域管理。对内网信息系统及相应的局域网(业务专网)划分为独立可管理和控制的安全域。不同的安全域应采取相应的安全策略和保护手段。
第五条 在网络边界和对外出口处必须配置网络防火墙。
第六条 未实施网络安全管理措施的计算机设备禁止与外网相连。
第七条 任何接入内网区域中的网络安全设备,必须使用经过国家有关网络安全部门认证的安全产品。
第八条 加强对内网信息上网前的保密审查和对已上网信息的保密检查,防止涉及国家秘密和个人隐私的信息上网。
第九条 在计算机联入内网之后,禁止再以其他任何方式(如拨号上网、无线网卡、ISDN、ADSL等)与互联网或其它网络相连,禁止以代理或其他未经批准的方式把其他计算机网络接入到内网。
第十条 按国家相关要求定期开展信息安全等级保护和风险评估工作,排除信息系统安全隐患。对于集中处理工作秘密的信息系统可以参照秘密级信息系统的分级保护相关要求实施安全认证防护。
第十一条 内网应配置独立的交换机,内网综合布线须满足《涉及国家秘密的信息系统分级保护技术要求》中的相关要求。
第十二条 内网信息系统利用公网(PSTN、ISDN、ADSL、DDN、X.25、帧中继、ATM、SDH等)进行远程传输时,必须使用VPN技术和IP密码机实行加密处理。
第十三条 内网因工作需要与其他网络进行连接,连接方式和设备必须满足国家网络安全保密的规定。
第十四条 内外网之间因工作需要进行数据交换时,必须采用符合国家保密部门要求的方式(如:刻录光盘)或设备(如:保密部门认可的安全移动存储介质管理系统)。
第十五条 通过部署统一的补丁升级系统、防病毒系统、漏洞扫描系统、网页防篡改系统、存储备份系统、容灾系统,建立与应用相适应的安全策略,全面加强主机和应用系统安全。对于存储在数据库中的关键数据以及关键的应用系统应作数据备份。
第十六条 建立监控、备份恢复、应急处理、安全审计、安全事件报告等工作制度。技术部门通过监控机房、网络、主机、应用、数据等运行状态,主动发现安全隐患,及时采取相应措施,尽快恢复受影响或被中断的应用服务。
第十七条 不得随意更改网络设置。如确需更改须经网络管理部门同意,并在网络管理人员的指导下操作且做好更改台帐登记。
第十八条 各接入单位的网络管理员必须做好使用人员、微机IP地址、MAC地址的登记与日常管理工作,并上报市局网信办备案。微机网络地址变动、使用人员离岗离职,应及时办理变更登记。
第三章 终端管理
第十九条 内网必须与国际互联网实行物理隔离,内网计算机应采用“双布线双用户终端”或“双布线单用户终端”的隔离卡物理隔离解决方案。或者只单独和内网连接。
第二十条 严禁在内网计算机上使用无线网卡、键盘、鼠标、蓝牙等一切无线设备。
第二十一条 严禁在内网发布涉密信息,内网计算机不得存储、处理、传输国家秘密信息,非涉密移动存储介质不得存储国家秘密信息。
第二十二条 严禁在内网计算机上连接手机、相机、USB存储介质等一切非授权的可存储或连接其他网络的外置设备。
第二十三条 内网计算机应专人专机专用,不得随意改变用途或未经授权由他人使用。此计算机必须保证密码安全。内网计算机和应用系统密码需定期修改,密码长度不少于8位,并由字母、数字和特殊字符混合组成。不能通过电子邮件等明文方式传送传输。
第二十四条 实行专人负责检测病毒,定期进行检查,配备相应的实时病毒检测工具。及时对内网计算机操作系统补丁进行更新,实时进行防病毒监控,做好防病毒软件和病毒代码的智能升级,定期对计算机进行全盘扫描、杀毒。对于系统软件和应用软件的安全隐患,内网计算机管理人员必须及时从系统软件开发商和应用软件开发商获取相关的补救措施,如安装补丁软件、制定新的安全策略等。
第二十五条 严禁以任何途径和媒体传播计算机病毒,对于传播和感染计算机病毒者,视情节轻重,给予处理。制造病毒或修改病毒程序制成者,要给予严肃处理。
第二十六条 发现病毒,应及时对感染病毒的设备进行隔离,情况严重时报相关部门并及时妥善处理。
第四章 用户管理
第二十七条 内网用户应定期接受保密教育和培训,建立完善的人员安全监管制度。
第二十八条 对内网用户进入网络的行为实行安全准入管理制度。安全准入行为管理包括便携式计算机、台式计算机、移动存储介质、打印机等设备的注册,外来软件的安装等。
第二十九条 内网用户不得私自安装与工作无关的软件,如需安装非工作需要的软件必须向网信办申请,禁止任何科室和个人安装黑客软件,严禁攻击内网内其它计算机,严禁散布黑客软件和病毒。内网用户在工作时间不得利用内网做与工作无关的事如玩游戏、观看视频等。一经发现,严肃处理。
第三十条 内网用户不得擅自更改内网计算机系统设置,如计算机名、IP地址、用户名等,非本单位工作人员或未经本单位审核同意的人员一律不得将任何设备接入内网,一经发现将对接入单位进行通报批评,并追究相关人员责任。
第三十一条 市局网信办会同局办公室应定期组织对内网信息系统的安全保密检测和检查,加强对内网安全、保密技术知识的教育和培训。
第三十二条 内网系统用户未经相关部门许可,禁止与其他人员共享账号和密码;禁止运行网络监听工具或其他黑客工具;禁止非法查阅别人的文件。
第三十三条 系统管理员不得随意在系统中增加账号,随意修改内网用户权限,未经相关部门领导批准,严禁委托他人行使管理员权利。
第五章 介质管理
第三十四条 内网计算机必须使用国家保密部门认可的安全移动存储介质。
第三十五条 指定专人负责安全移动存储介质的保管、发放、登记管理等,建立介质资产清单,落实安全责任制度,明确责任主体。
第三十六条 内网计算机及安全移动存储介质改变用途或报废之前,须由技术人员使用专用数据销毁工具将硬盘或移动存储介质中的数据进行彻底清除,以保护信息安全。
第三十七条 外来移动存储介质须在未联网的单机上检查病毒,确认无毒后方可上内网使用。私自使用造成病毒侵害要追究当事人责任。
第三十八条 内网系统的所有软件均不准私自拷贝出来赠送其它单位或个人使用,违者将严肃处理。
第三十九条 内网安全移动存储介质的维修、报废,先报主管领导审批,由专人负责登记备案后,再进行维修、报废处理。
第六章 安全事件报告
第四十条 内网用户发现安全事件已经发生或可能发生时,应立即采取补救措施并及时报告市局网信办。
第四十一条 网信办接到安全事件报告后,应当立即做出处理,并及时向上级领导部门报告。
第四十二条 内网用户对本人的行为负责,各单位负责人负有管理、监督本部门人员遵守本办法的责任。
第四十三条 违反本制度规定的,由各单位内网管理部门及时报告市局网信办,市局网络安全和信息化领导小组根据违规情况按有关规定,追究责任。
第四十四条 每年度对各单位内网网络信息安全督查一次。
第四十五条 网络安全和信息化领导小组对违反或者未能正确履行本办法所列职责的,按照有关规定,采取逐级倒查,分别追究当事人、各单位网络安全责任人直至主要负责人责任。协调监管不力的,还应追究综合协调或监管部门负责人责任。
第四十六条 有下列具体情形的,应当启动追责问责程序:
(一)各单位管理的门户网站、重点新闻网站、大型网络平台被攻击篡改,导致反动言论或者谣言等违法有害信息大面积扩散,且没有及时报告和组织处置的;
(二)各单位管理的门户网站、重点新闻网站受到攻击后没有及时组织处置,且瘫痪6个小时以上的;
(三)发生国家秘密泄露、大面积个人信息泄露或者大量地理、人口、资源等国家基础数据泄露的;
(四)关键信息基础设施遭受网络攻击,没有及时处置导致大面积影响人们群众工作、生活,或者造成重大经济损失,或者造成严重不良社会影响的;
(五)封锁、瞒报网络安全事件情况,拒不配合有关部门依法开展调查、处置工作,或者对有关部门通报的问题和风险隐患不及时整改并造成严重后果的;
(六)阻碍公安机关、国家安全机关依法维护国家安全、侦查犯罪以及防范、调查恐怖活动,或者拒不提供支持和保障的;
(七)发生其他严重危害网络安全行为的。
第八章 附 则
第四十七条 本制度由达州市国土资源局负责解释。
第四十八条 本制度自发布之日起执行。